Cyberattaques en Europe de l’Est: quand l’ancien se mélange au nouveau

0

Le chercheur d’expérience en espionnage Jon DiMaggio était plus qu’intéressé, il y a trois mois, par ce qui ressemblait à s’y méprendre à une nouvelle attaque d’espionnage industriel par les cyberespions russes.

Comme l’écrit Reuters, toutes les indications pointaient dans la même direction: des courriels d’hameçonnage ciblés, un virus « cheval de Troie » destiné à voler des informations à partir de l’intérieur d’organisations, des canaux de communication secrets pour obtenir des documents, et des indices, dans le code informatique, indiquant que les auteurs de l’offensive numérique parlaient russe.

Il a fallu des semaines avant que le principal enquêteur en cyberespionnage chez Symantec, l’une des principales firmes de sécurité informatique des États-Unis, découvre qu’il suivait en fait les traces d’un cyber criminel solitaire.

M. DiMaggio ne veut pas identifier le nom du coupable, qu’il surnomme Igor, affirmant que l’affaire est un exemple typique des difficultés croissantes qui surviennent lorsque vient le temps de séparer les activités d’espionnage menées par des nations des autres crimes cybernétiques. Le pirate est originaire de Transnistrie, une région russophone de Moldavie, dit-il.

« Le logiciel malveillant en question, Trojan.Bachosens, était si perfectionné que les analystes de chez Symantec ont d’abord pensé qu’ils examinaient le fruit du travail d’acteurs nationaux », a confié M. DiMaggio lors d’une entrevue accordée mercredi à Reuters. « Une enquête plus approfondie a révélé qu’il s’agissait d’une version 2017 du pirate du dimanche des années 1990. »

Reuters n’a pas été en mesure de contacter le présumé pirate.

 

Cet exemple souligne les dangers de sauter aux conclusions dans le monde trouble des cyberattaques et des défenses numériques, alors que des outils autrefois réservés aux services de renseignement gouvernementaux se retrouvent entre les mains des criminels informatiques « communs ».

Des experts en sécurité parlent de ce type de situation comme d’un « problème d’attribution », soit le fait d’employer des preuves technologiques pour assigner le blâme pour des cyberattaques afin de répondre adéquatement sur les plans légal et politique.

Ces questions se répercutent à travers le débat visant à savoir si la Russie a employé des méthodes de guerre cybernétique pour influencer la présidentielle américaine, l’an dernier, et si Moscou pourrait tenter de faire dérailler les élections nationales prévues au cours des prochains mois à travers l’Europe.

Ce dossier suscite de vifs échanges pour les responsables militaires et les chercheurs en sécurité privée se trouvant à la Conférence internationale sur les cyber conflits organisée cette semaine à Tallin. L’événement est organisé chaque année depuis que l’Estonie a été visée, en 2007, par des cyberattaques qui ont fait tomber les sites web du gouvernement, d’institutions financières et de médias dans la foulée d’une dispute avec la Russie. L’identité des responsables fait encore l’objet de discussions.

« L’attribution n’est presque jamais claire et évidente », mentionne Paul Vixie, créateur du premier service commercial de lutte aux pourriels, et dont la plus récente entreprise, Farsight Security, aide les compagnies à filer les cybercriminels pour les identifier et les bloquer.

Faisant monter les enchères, un mystérieux groupe se faisant appelé ShadowBrokers s’est attribué le mérite du coulage d’outils de cyberespionnage qui sont maintenant utilisés à des fins criminelles, y compris ceux employés lors de la récente attaque mondiale impliquant le rançongiciel WannaCry.

Au cours des dernières semaines, ShadowBrokers a menacé de vendre davantage de ces outils, qui auraient été volés à la NSA américaine, et qui permettaient au départ de pirater la plupart des ordinateurs, logiciels et téléphones utilisés sur la planète.

« La barre pour ce qui est considérée comme un outil sophistiqué est abaissée au fur et à mesure que le temps passe », mentionne Sean Sullivan, un chercheur en sécurité chez F-Secure.

La campagne des pirates moldaves visant à voler des données pour les revendre en ligne n’a été découverte qu’après que des infections eurent été détectées, l’an dernier, au sein d’une importante compagnie aérienne, d’un site de pari en ligne et d’un fabricant chinois de logiciels pour l’industrie automobile, qui sont tous des clients chez Symantec.

Cette dernière compagnie parle de Trojan.Bachosens comme d’un virus à faible risque, en partie parce que les attaques ne visent qu’un petit groupes d’entreprises, plutôt que s’en prendre au plus grand nombre d’utilisateurs possible. « Je crois que le temps où nous pouvions dire « Ceci vient d’un groupe d’espionnage » est révolu », soutient M. DiMaggio.

Le chercheur de chez Symantec n’a pas signalé les intrusions d’Igor aux autorités locales, calculant que le fait d’exposer les méthodes de piratage serait suffisant pour neutraliser le tout.

 

Partagez

À propos du journaliste

Pieuvre.ca